臺灣高等法院臺中分院刑事-TCHM,103,上易,330,20140528,1

臺灣高等法院臺中分院刑事判決 103年度上易字第330號
上 訴 人 臺灣臺中地方法院檢察署檢察官
被 告 林晁立
選任辯護人 林忠宏律師
上列上訴人因被告妨害電腦使用罪案件，不服臺灣臺中地方法院102年度易字第514號，中華民國102年12月30日第一審判決（起訴案號：臺灣臺中地方法院檢察署101年度偵字第14779號），提起上訴，本院判決如下：

主 文

上訴駁回。

理 由

一、公訴意旨略以：被告林晁立係設於臺中市○○區○○路 000號00科技工作室之負責人，從事代客管理主機、設置VPS、DDOS防火牆及相關附屬設備等服務。

於民國101年1月26日13時許，被告見告訴人洪志和所架設優質論壇（網址000000.com）伺服器管理有漏洞，竟萌干擾他人電腦相關設備之犯意，於同年1月26日13時起至同年2月15日止，在臺中市○○區○○○路000○0號所承租宿舍內，利用自行撰寫或網路上所取得之電腦程式，使用其所申請之上網線路，並鎖定上開論壇網站首頁，利用大量國外電腦多次重覆以持續寄出大量封包的方式，無故對該網站連結功能進行干擾，即以DoS（Denial of Service Attack，阻斷服務攻擊）和DDOS（Distributti on Denial of Service Attack，分散式阻斷服務攻擊）攻擊方式，藉由不當方式佔用系統分享資源，使該網頁之網路頻寬被佔用，達到干擾該論壇正常網路連線系統運作，被告於數日多次無故干擾上開網站後，即於同年2月5日23時7分許，撰寫電子郵件予告訴人表示可以每月約新臺幣1萬5千元至2萬元不等代價提供防禦，復持續以上開方式進行干擾至2月15日止，致使上開網站連結功能均無法正常運作，因而使該論壇會員無法順利登入上開網站交流資訊。

因認被告涉犯刑法第360條之無故干擾他人電腦設備罪嫌等語。

二、按被告以外之人於審判外之言詞或書面陳述，除法律有規定者外，不得作為證據，刑事訴訟法第159條固定有明文，惟被告以外之人於審判外之陳述，雖不符同法第159條之1至之4 規定，而經當事人於審判程序同意作為證據，法院審酌該言詞陳述或書面陳述作成時之情況，認為適當者，亦得為證據；

又當事人、代理人或辯護人於法院調查證據時，知有第159條第1項不得為證據之情形，而未於言詞辯論終結前聲明異議者，視為有前項之同意，同法第159條之5亦定有明文。

查本判決所引用之下列各項證據方法之證據能力，被告及檢察官均表示無意見，亦未於言詞辯論終結前聲明異議，本院審酌該等證據作成之客觀情況均無不當，並無不宜作為證據之情事，則依刑事訴訟法第159條之5之規定，認均具有證據能力。

三、按犯罪事實應依證據認定之，無證據不得認定犯罪事實；不能證明被告犯罪者，應諭知無罪之判決，刑事訴訟法第154條第2項、第301條第1項分別定有明文。

次按事實之認定，應憑證據，如未能發現相當證據，或證據不足以證明，自不能以推測或擬制之方法，以為裁判基礎；

所謂認定犯罪事實之證據，係指足以認定被告確有犯罪行為之積極證據而言，而認定犯罪事實所憑之證據，雖不以直接證據為限，間接證據亦包括在內，然而無論直接或間接證據，其為訴訟上之證明，須於通常一般人均不致有所懷疑，而得確信其為真實之程度，始得據之為有罪之認定，倘其證明尚未達到此一程度，而有合理懷疑存在時，事實審復已就其心證上理由予以闡述，敘明其如何無從為有罪之確信，因而為無罪之判決，尚不得任意指為違法（最高法院29年上字第3105號、40年臺上字第86號、76年臺上字第4986號等判例參照）。

又依刑事訴訟法第161條第1項之規定，檢察官就起訴之被告犯罪事實，應負提出證據及說服之實質舉證責任。

倘其所提出之證據，不足為被告有罪之積極證明，或其指出證明之方法，無從說服法院以形成被告有罪之心證，基於無罪推定之原則，自應為被告無罪判決之諭知（最高法院92年臺上字第128 號判例參照）。

再按告訴人之指訴，係以使被告受刑事訴追為目的，是以告訴人之指訴為證據方法，除其指訴須無瑕疵，且應有查與事實相符之佐證，始得資為判決之基礎，最高法院著有52年臺上字第1300號及61年臺上字第3099號判例可資參照。

而所謂無瑕疵，係指告訴人所為不利被告之陳述，與社會上一般生活經驗或卷存其他客觀事實並無矛盾而言；

另所謂就其他方面調查認與事實相符，非僅以所援用之旁證足以證明被害結果為已足，尤須綜合一切積極佐證，除認定被告確為加害人之可能外，在推理上無從另為其他合理原因之假設，有一不合於此，即不能以告訴人之陳述作為論斷之證據。

另告訴人與被告係處於對立地位，其提起告訴，係以使被告受刑事訴追為目的，是其指訴是否與事實相符，仍應調查其他證據以資審認；

又採用情況證據認定犯罪事實，須其情況與待證事實有必然結合之關係，始得為之，如欠缺此必然結合之關係，其情況猶有顯現其他事實之可能者，據以推定犯罪事實，即非法之所許，最高法院92年度臺上字第1878號、第2984號判決意旨亦可資參照。

四、公訴人認被告涉犯刑法第360條之無故干擾他人電腦設備罪嫌，無非係以被告之供述、告訴人洪志和之指訴、告訴人提出被告寄送之電子郵件列印資料、上開論壇訪客紀錄LOG 資料光碟、臺灣基礎開發科技股份有限公司函覆資料等，為其主要論據。

惟訊據被告堅詞否認有何無故干擾他人電腦設備之犯行，辯稱：告訴人於101年2 月5日21時37分許在其所架設之優質論壇網站發表論壇遭受攻擊一事之文章，網路化名「聖羽天沈」之人見到該文章後，將此事告知伊，因伊是立薰科技工作室之負責人，為主機資訊商，遂於同日23時許寄發電子郵件與告訴人，詢問告訴人有無興趣了解並試用立薰科技之防禦機制，其用意係在能否接獲訂單。

其後，被告即多次以IP位址為123.205.31.465之電腦ping（ICMP）來檢測告訴人所架設之優質論壇網站是否遭受DOS 阻斷服務攻擊或DDOS分散式阻斷服務方式攻擊，致告訴人誤以為被告係攻擊者等語。

經查：㈠本件告訴人指稱被告涉有無故干擾他人電腦設備犯行，係主張其於101年2月5日23時許，收到來自於[email protected] 電子信箱發送之電子郵件，自稱「Neil Lin」之人表示知悉當時上開論壇正遭受攻擊，然其從未發出論壇伺服器被攻擊之消息給任何人或在網路上公布，何以該自稱「NeilLin 」之人知道此事，除非該人即是攻擊者，經查證發送該電子郵件之人即係被告等語。

查被告有於10 1年2月5日23時許，以伊所申設使用之[email protected]電子信箱發送主旨為「HI,您好。

我是kkhost虛擬主機、獨立主機、VPS、ddos防火牆」、內容為「您好，晚安．我是本次跟你接洽的專員Neil Lin．稍早有朋友跟我說，你們論壇正遭受大型的ddos攻擊，並且在尋求防禦。

我們願意提供24小時防禦讓您試用。

不知道您有沒有興趣了解一下。」

之電子郵件至告訴人使用之電子信箱乙情，固經被告坦認無訛（見臺灣板橋地方法院檢察署101 年度偵字第14218號偵查卷第4頁），並有告訴人之提出之電子郵件列印資料附卷可考（見同上偵查卷第14頁），惟被告就此供稱係因伊為立薰科技工作室之負責人，為主機資訊商，因電腦業競爭激烈，經網路化名「聖羽天沈」之人告知上開論壇網站伺服器遭受攻擊，伊始寄發上開電子郵件，詢問告訴人有無興趣瞭解並試用其立薰科技之防禦機制，並提出上開論壇所刊登於101 年2月5日21時37分50秒發表之「【公告】論壇近期遭受攻擊一事徵求證人」文章及被告與化名「聖羽天沈」之人對話紀錄等件附卷可參（見原審卷第32頁、第33頁），而告訴人自承該文章確為其本人刊登（見原審卷第22頁），且告訴人所發表之上開文章亦載明：「也希望對於程式系統以及防護攻擊如果很了解，也希望可以祝我們一臂之力。

聯繫信箱：[email protected] 」等語，則由被告提出之上開文章及對話紀錄觀之，堪認被告辯稱其係經化名「聖羽天沈」之人告知告訴人之上開論壇伺服器遭受攻擊，始寄送電子郵件至告訴人使用之信箱，表示可以提供公司產品與告訴人試用，尚屬合理。

至告訴人就前開文章之刊登日期雖聲稱應是2 月10幾號，刊登日期有可能被改等語，惟就此復表示無法提出相關證據以實其說，且鑑定人劉昆豪於本院審理時亦證稱：「這是一個論壇網站上的留言，這個日期基本上也是可以被修改的，只是修改的方式可能需要入侵到該網站之伺服器去做時間修改，否則就是在列印出來之後的紙本文書變造。

因為列印出來的文書已經被修改過所以無法判別」等語（見本院卷第69頁）。

況依該文章內容所載「我們也相當不解為什麼會有人要破壞論壇，我們也從未收到攻擊者的來信」，則由告訴人係以其於101 年2月5日23時許收到被告所寄送之前揭電子郵件而認為被告係攻擊者一節，可推知告訴人於上開論壇刊登前開文章時，尚未收到被告寄發之電子郵件，是告訴人稱其係於 2月10幾號刊登前開文章，自屬有疑，告訴人此部分說詞核與常情及客觀事證有違，難以採信。

準此，告訴人徒以被告寄發上開內容之電子郵件，遽指被告即係攻擊者，殊難憑採，公訴意旨憑告訴人之指訴及被告寄送之上開電子郵件，率認「該論壇正遭受攻擊，告訴人亦苦思無對策，忖此論壇無從發布訊息下（他人也無法連上），被告（或其朋友）何以得知此訊息，被告如此相詢，堪認被告正係上開攻擊者無訛」等語，自不足以採為不利於被告認定之依據。

㈡公訴意旨另依告訴人之指稱，認告訴人在分析上開論壇訪客紀錄LOG 資料後，即鎖定上開攻擊之控制IP（即由被告在偵查中所自承其所使用IP：000.000.00.000），並於101年2月12日13時許，針對此IP設立一個假頁面，是只有此IP始能進入訪問的假網頁（該頁面內容顯示網站已經關閉移除），並利用Apache HTTP Server的htaccess進行轉址。

被告果使用設置於臺中市○○區○○○路000○0號與226號被告所承租宿舍網路，於同年月12日15時15分許，發送電子郵件予告訴人，表示已看到此頁面，足認被告確係上開攻擊控制者無訛等語。

查IP：000.000.00.000之使用人確為被告，雖經被告自承無訛（見臺灣板橋地方法院檢察署101年度偵字第14218號偵查卷第4頁、臺灣臺中地方法院檢察署101年度偵字第14779號偵查卷第59頁背面），並有臺灣基礎開發科技股份有限公司函在卷可考（見臺灣板橋地方法院檢察署101年度偵字第14218號偵查卷第10頁），惟本件應審究者，厥為IP：000.000.00.000之使用者，是否確為公訴意旨所稱告訴人上開論壇伺服器遭受DDOS攻擊之實際攻擊者？經原審依公訴人及辯護人之聲請，將告訴人提出之上開論壇訪客紀錄LOG資料光碟，送請財團法人資訊工業策進會予以鑑定，結果認：「分析證物資料後，發現證物資料所紀錄的期間為中原標準時間101/2/7 22：54起至101/2/14 16：25分止共約163小時，其中101/2/8至101/2/14此段時間確有間歇地遭受到DDOS攻擊，攻擊類型為UDP Flood攻擊與UDP FragmentFlood攻擊，攻擊來源共70個IP，受到攻擊的時段約30小時。

從分析資料中可發現IP：000.000.00.000的使用者並未直接對該伺服器主機進行DDOS攻擊，僅對伺服器發送ICMP封包約26小時，但伺服器在其中18個小時均處於遭DDOS攻擊狀態。

由於DDOS攻擊的方式是攻擊者在幕後控制多台殭屍電腦對目標進行攻擊，因此攻擊者不一定會被伺服器紀錄到其行為，故依目前現有證據資料無法證明IP：000.000.00.000的使用者為實際攻擊者，但亦無法排除其未利用DDOS攻擊方式攻擊告訴人之伺服器」等語，有該會出具之鑑定報告在卷可稽（見原審卷第177頁），是以依告訴人提出之上開論壇訪客紀錄LOG資料，無法明確證明IP：000.000.00.000的使用者為實際攻擊者，而該鑑定結論記載「亦無法排除其未利用DDOS攻擊方式攻擊告訴人之伺服器」等語，足徵IP：000.000.00.000的使用者是否為實際攻擊者，尚屬無法認定，顯見其為訴訟上之證明，未達於通常一般之人均不致有所懷疑，而得確信其為真實之程度，自難以此作為不利被告之證據，或作為告訴人指訴之補強證據。

再者，告訴人既係針對IP：000.000.00.000設立假網頁，則IP：000.000.00.000之使用者即被告自然能進入訪問該網頁，礙難以此逕認被告即係使上開論壇網站遭受DDOS攻擊之攻擊者。

㈢又依前揭鑑定報告，固顯示IP：000.000.00.000的使用者有對伺服器發送ICMP封包約26小時，然該鑑定報告就此部分亦敘明「IP：000.000.00.000的使用者並無直接對該伺服器進行DDOS攻擊，分析此IP所有的行為後，可發現此IP使用者除了正常的存取網頁外，也有傳送ICMP封包至該伺服器。

通常傳送ICMP封包的用途是確認伺服器的運作狀態是否正常」、「一般而言要發送ICMP封包皆是透過Ping程式，此程式預設是每秒傳送1 個ICMP封包，但分析此IP使用者之行為可發現，此IP發送ICMP封包的頻率有自行調整過……可推測此IP之使用者極欲得知告訴人之伺服器的詳細運作狀態，並非一般的使用者僅測試該伺服器當下是否正常。」

等語（見原審卷第174頁背面至第175頁），此情況核與被告辯稱其多次以IP位址為000.000.00.000之電腦ping（ICMP）來檢測告訴人所架設之優質論壇網站是否遭受DOS 阻斷服務攻擊或DDOS分散式阻斷服務方式攻擊乙節相符，參以該鑑定報告亦明載經比對告訴人提出之紀錄檔，並未發現ICMP Flood攻擊（見原審卷第168 頁），可知被告雖有對伺服器發送ICMP封包，然僅係用以偵測上開論壇網站伺服器之運作狀態而非屬攻擊行為。

至於被告IP對告訴人之伺服器發動ICMP封包有26小時之久，是否因對告訴人伺服器之運作產生影響？亦經鑑定人劉昆豪於本院審理時證稱：「我們的鑑定報告發現DDOS的攻擊比ICMP更大、更多，所以真正會有影響的應是那70個IP所發動的攻擊，至於被告的ICMP封包其實影響不大。

即光是靠這26個小時的ICMP封包應該不足以讓伺服器導致癱瘓現象，因為光碟日誌內發現的UDP 的DDOS攻擊封包更大量，所以今天如果伺服器癱瘓了，癱瘓原因應會是那些DDOS攻擊，而非ICMP封包。

該26小時之ICMP封包會送到告訴人之伺服器，所以伺服器會需要處理該26小時之封包，總是會花一些資源沒錯，至於是否造成干擾或癱瘓可能無法從鑑定報告之日誌裡發現，無法證明被告是否真的有造成影響。

因為我們從鑑定報告之日誌檔內只有發現該伺服器確實有收到26小時封包，但至於對伺服器造成什麼後續影響，其實無法從日誌檔內看到，因為日誌檔僅紀錄告訴人幾月幾日幾時收到封包，但無法說告訴人收到後造成什麼影響，這沒有紀錄在日誌檔裡面。」

等語（見本院卷第67頁背面），足見被告對告訴人之伺服器發送26小時的ICMP封包，是否因此而達到干擾告訴人伺服器之運作，即非無疑，又無其他積極證據可認定ICMP封包對伺服器之運作確實產生影響，依「罪疑利益歸於被告」之證據法則，應為有利被告之判斷，認定被告發送26小時之ICMP封包不致於干擾告訴人伺服器之正常運作。

㈣公訴意旨另以「比對被告於電子郵件中所述，『……通常都是上百台電腦一起發動攻擊（肉雞），我們會了解是因為我們具有ddos攻擊的能力，但我們不會任意攻擊別人……。』

等語（參臺灣板橋地方法院檢察署101年度偵字第142 18 號卷第32頁電子郵件），足見本件被告應係基於商業利益下所為」，而認被告係對上開網站伺服器進行攻擊之攻擊者，然觀諸公訴意旨所舉被告寄送與告訴人之電子郵件內容所載「通常都是上百台電腦一起發動攻擊（肉雞），我們會了解是因為我們有具有DDOS攻擊的能力，但我們不會任意攻擊別人。

2009年我們被另外一家已經倒掉的主機商打得很慘，才會投入資金跟技術在防禦跟攻擊上。」

等語（見臺灣板橋地方法院檢察署101年度偵字第14218號偵查卷第32頁），堪認被告僅係強調其對DDOS攻擊之了解，且具有防禦之能力，以說服告訴人相信其專業而購買產品，公訴意旨基此推認被告係基於商業利益而對告訴人架設之上開論壇網站伺服器進行攻擊，尚乏實據，而純屬臆測之詞，洵非可採。

㈤公訴意旨復主張「被告已於偵查中自承在臺大PPT（按應是PTT，下同）論壇號召其他的人合夥做DDOS攻擊」等語，然觀諸被告於偵查中係供稱：「（問：你是否在臺大的PTT 論壇號召其他的人跟你一起做DDOS攻擊行為？）沒有。

我要去做防禦，我自己有我自己的伺服器，我必須要做壓力測試，來驗證我的防火牆是否有效。

就像一般軟體公司找一些不相關的人來開發他們的軟體漏洞。」

等語（見101年度偵字第14779號偵查卷第59頁背面），並未自承有號召其他人一起從事DDOS攻擊，參以卷附告訴人提出被告在PTT 發表之文章內容，係表示對於DDOS有興趣研究，想找人合購DDOS軟體等語（見臺灣板橋地方法院檢察署101年度偵字第14218號偵查卷第34頁），實與號召他人一起做DDOS攻擊有間，且該文章之發表時間係101年1月11日，難認與本案有何關連，尚無法據此逕認告訴人所為係被告攻擊其上開論壇網站之指訴屬實。

五、綜上所述，本件除告訴人之指訴外，尚乏其他積極證據足資證明被告有何無故干擾他人電腦設備之犯行，而公訴人所提出之證據或所指出之證明方法，亦不足為被告有罪之積極證明，從而，公訴人所舉證據，仍存有合理懷疑，實未達通常一般之人均不致於有所懷疑，而得確信其為真實之程度者，揆諸前揭條文及判例意旨，礙難僅憑推測或擬制之方法，即率為被告有罪之論斷。

此外，本院復查無任何積極證據足資證明被告有何公訴人所指之干擾他人電腦設備犯行，本件既不能證明被告等犯罪，自無從說服本院形成被告等有罪之心證，依前揭說明，原審因而依刑事訴訟法第301條第1項諭知被告無罪之判決，核無不當。

檢察官上訴指稱：㈠據卷附財團法人資訊工業策進會之鑑定報告稱：「從分析資料中可發現IP：000.000.00.000之使用者並未直接對該伺服器主機進行DDOS攻擊，僅對伺服器發送ICMP封包約26小時，但伺服器在其中18小時均處於遭DDOS攻擊狀態。」

足徵被告對告訴人使用之伺服器發送ICMP封包，與該伺服器遭DDOS攻擊狀態之產生具有因果關係，且DDOS攻擊方式之特性，即攻擊者躲在幕後控制多臺殭屍電腦對目標進行攻擊，攻擊者未必會被伺服器紀錄到其行為，因此難以證明實際攻擊者為何，犯罪者深諳此道即藉此隱身暴後以逃避追查，並於臨訟時執為慣用之辯詞，惟終究無法排除上述之因果關係而應負起本案之罪責。

㈡羅士倫仍有調查之必要，用以釐清羅士倫是否即為化名「聖羽天沉」者？被告究竟如何得知告訴人所使用之伺服器遭到攻擊而向告訴人索求救助之生意？羅士倫如係化名「聖羽天沉」者，其如何告知被告有關告訴人所使用之伺服器遭到攻擊？否則，被告刻意杜撰所謂化名「聖羽天沉」者，即難輕信。

諸多疑點尚未釐清之前，遽予判決，有失率斷，亦有未洽。

惟查本件公訴人僅以告訴人洪志和之陳述，並佐以被告寄送之電子郵件列印資料、論壇訪客紀錄LOG資料光碟、臺灣基礎開發科技股份有限公司函覆資料等，為其主要論據，並未提出其他必要證據加以補強，且被告發送ICMP封包行為與該伺服器遭DDOS攻擊狀態之產生，兩者間並無必然結合之關係，仍有其他事實情況可導致此情況發生，又財團法人資訊工程策進會之鑑定報告及鑑定人劉昆豪於本院審理時之證述，均無法認定被告係使上開論壇網站遭受DDOS攻擊之攻擊者，或係發送26小時之ICMP封包會影響告訴人伺服器之正常運作。

是以，告訴人洪志和之陳述，須補強證據以擔保其供述之真實性，在無其他必要證據加以補強情形下，本院自難僅憑告訴人單一之指訴遽以採為論罪科刑之根據。

至檢察官上訴聲請傳喚證人羅士倫部分，曾經本院傳喚不到，嗣經本院函查其IP位置及電子郵件註冊登記資料，亦無從得知證人之註冊地址，且被告選任辯護人及檢察官於本院審理時亦捨棄聲請傳喚證人羅士倫，是已無再傳喚羅士倫作證之必要，附予敘明。

從而，檢察官上開上訴意旨核係臆測之詞，自非可採，其上訴為無理由，應予駁回。

據上論斷，應依刑事訴訟法第368條，判決如主文。

本案經檢察官沈淑宜到庭執行職務。

中 華 民 國 103 年 5 月 28 日
刑事第一庭 審判長法 官 林 榮 龍
法 官 楊 真 明
法 官 吳 幸 芬

以上正本證明與原本無異。
不得上訴。

書記官 廖 次 芬
中 華 民 國 103 年 5 月 28 日